KORVIT Corporation

Active Directory -toimialueen ohjaustietokoneen vaihto

12.11.2011 - Windows 2003 ja 2008 (R2)

Tagit: change active directory operations master, update ad domain controller, switch active directory from windows 2003 to windows 2008 r2

Ennen pitkää Active Directory -toimialue tulee vaihtaa toiselle ohjelmistolle tai laitteistolle, esimerkiksi uudempaan palvelimeen. Ohjeessa käydään läpi toimialueen päivitys Windows Server 2003 Standard x86 –järjestelmästä Windows Server 2008 R2 Standard x64 –järjestelmään. Jos käyttöjärjestelmä ei vaihdu tapauksessasi, voit hypätä Adprep-kappaleen yli.

Adprep

Jotta toimialueen siirto tai kahdennus uudemmalle palvelinohjelmistolle voidaan suorittaa, toimialueen taso tulee nostaa oletus Windows 2000 Mixed –tilasta Windows 2003 Native –tilaan ja suorittamalla Adprep-työkalu. Tämä onnistuu avaamalla Active Directory Users and Computers –MMC toimialueen nykyiseltä ohjauskoneelta (isäntänimi: w2k3srv) ja valitsemalla kohdetoimialueen asetuksista ”Raise Domain Functional Level…” (kts. kuva 1). Alasvetovalikosta valitaan ”Windows Server 2003”, painetaan ”Raise” (kts. kuva 2) ja hyväksytään varoitus. Kun toimialue on oikealla tasolla, nykyiseen ohjauskoneeseen asetetaan Windows 2008 R2 –asennusmedia ja käynnistetään komentoriviltä Adprep-työkalu. Adprep-työkalu löytyy asennusmedian ”support\adprep” –hakemistosta. Koska käytössä on Windows 2003 32-bittinen versio, käytetään 64-bittisen Adprep-työkalun 32-bittistä versiota, adprep32.exe:ä. Suoritetaan komennot ”adprep32 /forestprep” (kts. kuva 3) ja ”adprep32 /domainprep”.

kuva1kuva1 kuva2kuva2 kuva3kuva3
Kuva 1Kuva 2Kuva 3

Uusi palvelin

Nyt voidaan siirtyä käyttämään uutta ohjauskonetta. Ohjeen esimerkkitietokone on puhdas Windows 2008 SP1 –asennus, jolle on määritetty isäntänimi ”w2k8srv” sekä staattinen IP-osoite. Tietokonetta ei ole vielä liitetty toimialueeseen, mutta se voisi yhtä hyvin olla. Asennetaan järjestelmään Active Directory Domain Services ja suoritetaan dcpromo.exe. Asetuksien teossa valitaan, että toimialueohjain lisätään jo olemassa olevaan toimialueeseen (kts. kuva 4). Koska tietokone ei ole vielä jäsenenä kyseisessä toimialueessa, syötetään halutun toimialueen nimi sekä siihen sopivat järjestelmänvalvojan tunnukset (kts. kuva 5). Valitaan kohdetoimialue (kts. kuva 6), hyväksytään varoitus vain-luku –palvelimista ja valitaan oletussijainti. Jos Adprep-työkalun suoritus nykyisessä ohjaintietokoneessa on tekemättä tai jäänyt vaillinaiseksi, asennus tyssää kohdetoimialueen valintaan.

Valitaan asennettavaksi ”Global catalog” –palvelu (kts. kuva 7). Seuraava herjaus koskee DNS-palvelinta, jota ei ole vielä asennettu, vaan se asentuu automaattisesti (turha ilmoitus kyseessä). Sen jälkeen syötetään kohdehakemistot Active Directoryn tiedostoille sekä hakemistopalveluiden palautussalasana. Palvelin kahdentaa nyt Windows 2003 –palvelimen Active Directory –palvelua ja tarjoaa vikasietoisuutta.

kuva4kuva4 kuva5kuva5 kuva6kuva6 kuva7kuva7
Kuva 4Kuva 5Kuva 6Kuva 7

Pääohjauskoneen siirto

Active Directoryn vastuu halutaan nyt siirtää uudelle Windows 2008 –palvelimelle. Tämä hoituu Operations Mastereiden siirrolla. Avataan Active Directory Users and Computers -MMC Windows 2008 –palvelimella tai yhdistetään siihen toisella tietokoneella (”Change Domain Controller”). Tämän jälkeen valitaan kohdetoimialueen asetuksista ”Operations Masters…” (kts. kuva 8). Siirretään kaikilta kolmelta välilehdeltä palvelu uudelle palvelimelle (kts. kuva 9).

Siirretään Domain Naming Master -rooli vastaavasti Active Directory Domains and Trusts -MMCstä. Viimeiseksi siirretään Schema Master -rooli siten, että käynnistetään tyhjä mmc.exe (komentorivillä/haulla) ja lisätään siihen Active Directory Schema -komponentti File > Add/Remove Snap-in... -valikosta. Siirretään tämäkin Operations Master tuttuun tapaan.

kuva8kuva8 kuva9kuva9
Kuva 8Kuva 9

Vanhan palvelimen poisto

Kun uusi palvelin on toiminnassa, Windows 2003 –palvelimen toimialueohjausrooli voidaan poistaa käytöstä. Suoritetaan sillä dcpromo.exe ja valitaan toimialueen ohjausroolin poisto. Poisto varoittaa, että toimialueessa on oltava jokin toinen Global Catalog –palvelu, joka juuri asennettiin uudelle ohjainkoneelle kuvassa 7. Kysyttäessä ”This server is the last domain controller in the domain” –valinta jätetään valitsematta (kts. kuva 10). Tämä tekee sen, että ohjelma koittaa ottaa yhteyttä muihin toimialueen ohjauskoneisiin. Jos ruutuun ilmestyy virheilmoitus, jossa sanotaan, että muita toimialueen ohjauskoneita ei voitu tavoittaa, poistoa ei kannata jatkaa, sillä uudessa ohjauskoneessa on jotain vialla (kts. sysvol-tapaus alempaa).

Kun poisto-ohjelma kysyy syöttämään uusia paikallisen järjestelmänvalvojan tunnuksia, ollaan jo voiton puolella. Tässä testiympäristössä poiston aikana tuli kerran virheilmoitus Netlogonista, joka keskeytti poistoprosessin. Kun poisto suoritettiin uudemman kerran, virhettä ei enää tullut, vaan poisto suoritettiin onnistuneesti. Vanha toimialueohjain on nyt tavallinen toimialueeseen liitetty tietokone.

kuva10kuva10
Kuva 10

Sysvol-tapaus

En onnistunut toistamaan kyseistä ongelmaa tässä testiympäristössä, mutta eräässä tuotantoympäristössä kävi niin, että Windows 2003 -palvelinta poistettaessa dcpromo herjasi, oletko varma, että tämä palvelin ei ole toimialueen viimeinen palvelin, sillä muita palvelimia ei tavoitettu. Vika oli siinä, että sysvol-kansio ei ollut siirtynyt uudelle palvelimelle, eikä sitä edes näkynyt uuden palvelimen jaetuissa kansioissa. Pakotettu synkronointi tapahtuu seuraavasti:

  1. Pysäytetään ”File Replication Service” Services –MMCstä molemmilta palvelimilta
  2. Alkuperäisellä ohjauskoneella käynnistetään Regedit ja navigoidaan polkuun HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\”koneen GUID”
  3. Muutetaan ”Burflag”-merkinnän arvo ”D4”:ksi (molemmat ilman lainausmerkkejä)
  4. Toistetaan toimenpide uudella palvelimella, mutta muutetaan arvoksi ”D2”
  5. Käynnistetään File Replication Service ensin alkuperäisellä ohjauskoneella ja sen jälkeen uudella palvelimella
  6. Hetken kuluttua sammutetaan File Replication Services vanhalla palvelimella
  7. Navigoidaan Regeditillä polkuun HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters
  8. Lisätään uusi DWORD-avain nimeltään ”Enable Journal Wrap Automatic Restore” ja arvoltaan 1
  9. Käynnistetään File Replication Services ja muutaman minuutin kuluttua sysvol-jaon pitäisi ilmestyä uudelle palvelimelle. Jos ei, tapausta voi yrittää selvittää lisää Event Viewerin lokeista